La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Internet Information Server 6.0 Aplicaciones Web Seguras Chema Alonso MS MVP Windows Server Security Código: HOL-IIS01.

Presentaciones similares


Presentación del tema: "Internet Information Server 6.0 Aplicaciones Web Seguras Chema Alonso MS MVP Windows Server Security Código: HOL-IIS01."— Transcripción de la presentación:

1 Internet Information Server 6.0 Aplicaciones Web Seguras Chema Alonso MS MVP Windows Server Security Código: HOL-IIS01

2 Agenda Aplicaciones Web Vulnerabilidades: Sql Injection Vulnerabilidades: Cross-Site Scripting Vulnerabilidades: Phising Vulnerabilidades: WebTrojan Vulnerabilidades: Capa 8

3 Aplicaciones Web

4 Tipos de Aplicaciones Web Web Site público. –Información destinada al público. Intranet (ERP/CRM/Productividad) –Información privada de acceso interno. Extranet (Productividad/B2B/B2C) –Información privada de acceso externo.

5 Almacén De Datos Lógica de la AplicaciónInterfaz de Usuario (GUI) Arquitectura Multicapa Browser WebServer DCOM WebService BBDD WebServer RPC

6 Arquitectura: Cliente Navegador de Internet: –Ejecuta código en contexto de usuario. –Lenguajes potentes: HTML/DHTML vbScript/JavaScript/Jscript –Programas embebidos Applets Java ActiveX Shockwave Flash –Códigos No protegidos Cifrado cliente: Atrise. Ofuscación de código.

7 Arquitectura: Lógica de Aplicación Servidor Web –Ejecuta código en contextos privilegiados. –Lenguajes potentes –Acceden a BBDD –Envían programas a clientes –Transferir ficheros –Ejecutar comandos sobre el sistema. –Soporte para herramientas de administración de otro software. –Códigos de Ejemplo

8 Arquitectura: Almacén de Datos SGBD –Lenguaje de 3ª y 4ª Generación. –Soporta múltiples bases de datos. –Catálogo global de datos. –Ejecuta programas sobre Sistema. –LOPD. –Transacciones económicas. –Información clave de negocio.

9 Vulnerabilidades: SQL Injection

10 Explotación del Ataque Aplicaciones con mala comprobación de datos de entrada. –Datos de usuario. Formularios –Text –Password –Textarea –List –multilist –Datos de llamadas a procedimientos. Links Funciones Scripts Actions Datos de usuario utilizados en consultas a base de datos. Mala construcción de consultas a bases de datos.

11 Riesgos Permiten al atacante: –Saltar restricciones de acceso. –Elevación de privilegios. –Extracción de información de la Base de Datos –Parada de SGBDR. –Ejecución de comandos en contexto usuario bd dentro del servidor.

12 Tipos de Ataques Ejemplo 1: –Autenticación de usuario contra base de datos. Select idusuario from tabla_usuarios Where nombre_usuario=$usuario And clave=$clave; Usuario Clave ****************

13 Tipos de Ataques Ejemplo 1 (cont) Select idusuario from tabla_usuarios Where nombre_usuario=Administrador And clave= or 1=1; Usuario Clave Administrador or 1=1

14 Demo

15 Tipos de Ataques Ejemplo 2: –Acceso a información con procedimientos de listado. Ó

16 Tipos de Ataques Ejemplo 2 (cont): union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(del c:\boot.ini); shutdown -- Ó union select.....; otra instrucción; --

17 Demo

18 Contramedidas No confianza en medias de protección en cliente. Comprobación de datos de entrada. Construcción segura de sentencias SQL. Fortificación de Servidor Web. –Códigos de error. –Restricción de verbos, longitudes, etc.. –Filtrado de contenido HTTP en Firewall. Fortificación de SGBD. –Restricción de privilegios de motor/usuario de acceso desde web. –Aislamiento de bases de datos.

19 Vulnerabilidades: Cross-Site Scripting (XSS)

20 Explotación del Ataque Datos almacenados en servidor desde cliente. Datos van a ser visualizados por otros cliente/usuario. Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

21 Riesgos Ejecución de código en contexto de usuario que visualiza datos. –Navegación dirigida –Webspoofing –Spyware –Robo de credenciales –Ejecución de acciones automáticas –Defacement

22 Tipos de Ataques Mensajes en Foros. Firma de libro de visitas. Contactos a través de web. Correo Web. En todos ellos se envían códigos Script dañinos.

23 Demo

24 Contramedidas Fortificación de aplicación –Comprobación fiable de datos Fortificación de Clientes –Ejecución de clientes en entorno menos privilegiado. –Fortificación de navegador cliente. MBSA. Políticas.

25 Vulnerabilidades: Phising

26 Explotación del Ataque Basado en técnicas de Ingeniería Social. Se aprovecha de la confianza de los usuarios. Se aprovecha de la falta de formación en seguridad de los usuarios. Certificados digitales no generados por Entidades Emisoras de Certificados de confianza.

27 Riesgos Suplantación de Sitios Web para engañar al usuario. Robo de credenciales de acceso a web restringidos. –Robo de dinero –Compras por Internet –Bromas pesadas

28 Tipos de Ataques Se falsea la dirección de DNS del servidor –Falsificación hosts Troyanos, Físicamente, Shellcodes exploits –DHCP –DNS Spoofing Man in The Middle Se engaña la navegación. –Frames Ocultos –URLs falseadas. Se implanta en la nueva ubicación un servidor replica. Se implantan hasta fakes de certificados digitales

29 Exploits infohacking.com

30 Spoofing ARP Suplantar identidades físicas. Suplantar identidades físicas. Saltar protecciones MAC. Saltar protecciones MAC. Suplantar entidades en clientes DHCP. Suplantar entidades en clientes DHCP. Suplantar routers de comunicación. Suplantar routers de comunicación. Solo tiene sentido en comunicaciones locales. Solo tiene sentido en comunicaciones locales.

31 Dirección Física Tiene como objetivo definir un identificador único para cada dispositivo de red. Tiene como objetivo definir un identificador único para cada dispositivo de red. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física. Protocolo ARP Protocolo ARP No se utilizan servidores que almacenen registros del tipo: No se utilizan servidores que almacenen registros del tipo: Dirección MAC Dirección IP. Dirección MAC Dirección IP. Cada equipo cuenta con una caché local donde almacena la información que conoce. Cada equipo cuenta con una caché local donde almacena la información que conoce.

32 PC HACKER PC 1 PC 2 PC 3 PC 4 Sniffer Datos PC 4 MAC 1 MAC 2 MAC H MAC 3 MAC 4 Puerto 1 MAC 1 Puerto 2 MAC 2 Puerto 6 MAC H Puerto 11 MAC 3 Puerto 12 MAC 4 Sniffing en Redes Conmutadas

33 Envenenamiento de Conexiones Man in the Middle La técnica consiste en interponerse entre dos sistemas. La técnica consiste en interponerse entre dos sistemas. Para lograr el objetivo se utiliza el protocolo ARP. Para lograr el objetivo se utiliza el protocolo ARP. El envenenamiento puede realizarse entre cualquier dispositivo de red. El envenenamiento puede realizarse entre cualquier dispositivo de red.

34 Envenenamiento de Conexiones Man in the Middle PC 1 IP 1 MAC 1 PC 2 IP 2 MAC 2 PC H IP H MAC H IP 2 – MAC H IP 1 – MAC H CACHE ARP IP 2 – MAC H CACHE ARP IP 1 – MAC HCONEXIÓNPC2 REENVÍO A HOST

35 Man in the Middle Sirve como plataforma para otros ataques. Sirve como plataforma para otros ataques. DNS Spoofing. DNS Spoofing. Phising. Phising. Hijacking. Hijacking. Sniffing Sniffing Se utiliza para el robo de contraseñas. Se utiliza para el robo de contraseñas.

36 Demo

37 Contramedidas Contra Phising –Uso de CA de confianza –Formación a usuarios –Gestión de actualizaciones de seguridad –Códigos de aplicaciones seguras –Control físico de la red –Comprobación DHCP Contra Spoofing ARP –Autenticado de conexiones IPSec –Detección de Sniffers –IDS

38 Vulnerabilidades: WebTrojan

39 Explotación de Ataque Servidores Web no fortificados –Ejecución de programas en almacenes de ficheros. –Subida de ficheros a servidores. Imágenes para publicaciones. Archivos de informes. Currículos, cuentos, etc... –Almacenes de ficheros accesibles en remoto Usuario en contexto servidor Web no controlado

40 Riesgos Implantación de un troyano que puede: –Gestionar ficheros –Ejecutar programas –Destrozar el sistema –Defacement –Robo de información –....

41 Tipos de Ataques Programación de un troyano en PHP, ASP o JSP Utilización de objetos FileObject Subida mediante ASP Upload Busqueda del lugar de almacenamiento Invocación por URL pública del servidor Web

42 Demo

43 Contramedidas Fortificación de servidores Web –Menor Privilegio Ejecución de programas en sitios restringidos Listado de directorios ocultos Usuario de servidor en contexto controlado –Subida de archivos controlada Ubicación no accesible desde URL pública Tipos de ficheros controlados –Tamaño, tipo, extensión, etc.. –Filtrado vírico -> Rootkits

44 Vulnerabilidades: Capa 8

45 Explotación de Ataque Falta de conocimiento SD3 –Diseño –Configuraciónes –Implantación Administradores/Desarrolladores no formados en Seguridad –Hacking Ético Falta de conocimiento del riesgo

46 Riesgos Insospechados: –Bases de datos públicas –No protección de datos –No protección de sistemas –.....

47 Tipos de Ataques Hacking Google Administradores predecibles –http://www.misitio.com/administracion –http://www.misitio.com/privado –http://www.misitio.com/gestion –http://www.misitio.com/basedatos Ficheros log públicos –WS_ftp.log Estadísticas públicas –Webalyzer

48 Demo

49 Contramedidas Formación Ficheros Robots –Robots.txt LOPD y LSSI –www.lssi.org Writting Secure Code

50 ¿ Preguntas ?

51 Boletín quincenal TechNews

52 Contacto Informática 64 –http://www.informatica64.comhttp://www.informatica64.com – Technet –http://www.microsoft.com/spain/technethttp://www.microsoft.com/spain/technet Profesor


Descargar ppt "Internet Information Server 6.0 Aplicaciones Web Seguras Chema Alonso MS MVP Windows Server Security Código: HOL-IIS01."

Presentaciones similares


Anuncios Google